L’Asie abrite plus de la moitié des internautes dans le monde. Les entreprises tirent parti de l’activité en ligne des Asiatiques pour faire des percées auprès de clients nouveaux et existants, créer de nouveaux produits et rendre les processus plus efficaces. Les avantages de cette opportunité s’accompagnent de risques uniques qui ne sont pas couverts par les polices d’assurance contre les pertes d’exploitation traditionnelles. Cependant, ils peuvent être gérés avec une couverture BI à partir de polices d’assurance cyber autonomes.
À mesure que nous passons du monde physique au monde numérique, les revendications de cyber-BI présentent des défis uniques – certains familiers, d’autres différents, et d’autres radicalement différents des revendications de BI traditionnelles.
Le familier
Comme pour toute réclamation d’assurance, un lien de causalité entre l’incident et le sinistre doit être établi. C’est ce que l’on appelle dans le domaine de la BI traditionnelle la clause de dommages matériels. Les polices d’assurance cyber BI sont similaires, mais au lieu de dommages, la couverture peut être déclenchée par une compromission réelle ou présumée des systèmes informatiques d’un assuré. Pour que les sinistres soient couverts, ils doivent découler d’un incident assuré.
Les types de couverture fournis par les polices d’assurance BI traditionnelles et cyber sont également assez similaires. La couverture peut être assurée sur la base du revenu brut ou du bénéfice brut et sur la base de l’augmentation des coûts de travail. L’objectif est donc de placer le preneur d’assurance dans une situation sans le cyberincident. Ces incidents peuvent être malveillants (par exemple, une violation de données ou un logiciel malveillant) ou autres (peut-être dus à des actes ou des omissions accidentels). Le défi, comme toujours, consiste à isoler la perte uniquement de celle causée par l’incident.
Le quelque peu différent
Certaines différences subtiles sont perceptibles lorsque l’on considère les pertes dans le cadre d’une police d’assurance cyber. La période d’indemnisation d’une police d’assurance BI traditionnelle commence généralement lorsqu’un sinistre physique se produit. Cependant, avec les polices de cyber-BI, le début dépend fortement du libellé de la police ; Il peut s’agir de l’heure évaluée d’une compromission du système ou de l’heure à laquelle un rapport d’incident de sécurité est établi. Celle-ci est soumise à l’expiration d’une période d’attente définie (c’est-à-dire déductible pour le temps), généralement d’environ 12 heures. Bien que cela semble être un court laps de temps, cela peut s’avérer être une éternité coûteuse pour un détaillant en ligne lors d’une vente importante comme le jour des célibataires.
Les polices d’assurance cyber BI ont généralement une période d’indemnisation maximale d’environ trois mois, ce qui est nettement plus court que les 12 mois que l’on voit couramment dans les polices d’assurance bibus traditionnelles. Cela reflète la nature plus courte de nombreux cyberincidents, qui peuvent être résolus plus rapidement grâce, par exemple, à une restauration de sauvegarde. Cependant, il peut être difficile d’identifier et de rectifier le point de défaillance d’un système informatique complexe, malgré l’assistance d’une équipe dédiée à la réponse aux incidents.
Les très différents
Étant donné que les actifs sous-jacents sont de nature intangible, certaines différences majeures apparaissent. En voici deux qui méritent d’être pris en compte :
- Attaques par rançongiciel
Bien qu’elles ne soient pas nouvelles, les attaques par ransomware sont devenues de plus en plus importantes et complexes, ce qui augmente la probabilité qu’une entreprise soit confrontée à des perturbations. Les données peuvent être volées ou l’accès à celles-ci bloqué (ou une combinaison de ces éléments), l’extorqueur menaçant de divulguer, de détruire ou de bloquer l’accès aux données confidentielles à moins qu’un paiement ne soit effectué. La rançon moyenne en 2023 s’élèverait à 1,54 million de dollars, soit près du double de celle de 2022.
Dans certains cas, le paiement de la rançon peut sembler l’option la moins chère et la plus efficace. Certaines polices indemnisent même un titulaire de police pour de tels paiements. La décision finale d’effectuer ou non un paiement appartient à l’entreprise, mais devrait-elle payer ?
Bien qu’il puisse être tentant de céder aux demandes dans l’espoir que les données soient restaurées rapidement, les preuves ne le confirment pas. Environ une personne sur quatre qui paie ne récupère jamais ses données, et même si certaines données sont récupérées, la plupart des organisations mettent plus d’une semaine à se remettre d’une attaque par ransomware. Il n’y a pas non plus de garantie de fin ou de résolution de l’attaque – un point repris par la Counter Ransomware Initiative, qui regroupe 48 pays, et qui décourage fortement de tels paiements. Les paiements pourraient également servir de source de financement pour des activités criminelles et constituer une incitation supplémentaire à commettre de futures attaques.
Les entreprises doivent décider s’il est dans leur intérêt de refuser le paiement d’une rançon. Si les assureurs soutiennent la décision de ne pas payer, la couverture s’étendra généralement aux coûts de recouvrement et à toute perte de revenus résultant directement de l’attaque.
Étant donné que les attaques par ransomware peuvent être financièrement coûteuses et entraîner des temps d’arrêt importants, il serait judicieux de se préparer de manière proactive à un tel incident. Ces mesures peuvent inclure :
- S’assurer que les sauvegardes et les redondances sont en place et à jour
- Réalisation d’audits informatiques réguliers
- Imposer des mots de passe forts et une authentification multifactorielle
- Organiser régulièrement des formations et des formations en informatique
- Élaborer des plans de réponse aux incidents qui peuvent être mobilisés rapidement si nécessaire
De tels plans ne sont efficaces que s’ils impliquent les efforts de l’ensemble de l’organisation.
- Atteinte à la réputation
À la suite d’une cyberattaque, la perception du public à l’égard de l’entreprise ciblée peut être affectée, en particulier lorsque les données sensibles des clients sont compromises. Les clients peuvent remettre en question la capacité de l’entreprise à protéger leurs renseignements personnels, ce qui entraîne une perte de confiance et de fidélité. Les interruptions de service peuvent également amener les utilisateurs à se tourner vers un concurrent qui fait la promotion de sa fiabilité.
De nombreuses polices d’assurance cyber BI offrent une couverture pour les atteintes à la réputation, en remboursant les assurés pour les pertes financières découlant directement de l’incident. Il peut également être possible de couvrir les coûts de réparation de la réputation en engageant des consultants en relations publiques afin d’atténuer les effets d’une publicité négative. La difficulté réside dans la mesure et l’attribution de la perte de clients actuels et potentiels à l’incident. De plus, étant donné que de nombreuses polices d’assurance cybersécurité ont des périodes d’indemnisation maximales courtes, les dommages continus à la réputation au-delà de cette période ne seraient pas couverts par la police.
On ne sait toujours pas si les nouvelles de cyberincidents sont devenues si courantes que la réputation d’une entreprise est effectivement entachée. Les gens ont tendance à considérer les entreprises qui jouissent d’un haut degré de confiance comme étant plus susceptibles de perdre leur réputation. Une banque en ligne, par exemple, serait plus sujette à une perte de réputation qu’un détaillant en ligne.
Comme dans le cas des rançongiciels, une approche proactive de la gestion des atteintes à la réputation peut être plus efficace et efficiente qu’une attitude réactive. En plus des mesures énumérées ci-dessus, la pierre angulaire devrait être une communication claire et efficace avec les parties prenantes, essentielle pour rétablir la confiance et défendre les réputations.
Conclusion
Les revendications de cyber-BI partagent certaines caractéristiques avec leurs homologues de BI traditionnelles, mais le domaine numérique soulève des questions uniques. Lorsqu’une entreprise est confrontée à une perte liée à la cyber-BI, il est essentiel de faire appel à un partenaire de confiance spécialisé dans les nuances des réclamations cyber-BI pour l’aider à en atténuer l’impact à grande échelle.
> Pour en savoir plus, renseignez-vous sur les services de juricomptabilité et les capacités de Sedgwick en matière d’interruption d’activité en Asie ou [email protected] par e-mail pour plus d’informations.
Tags : BI, Pertes d'exploitation, Sinistres, cyber, cyber-assurance, Cyber-risque, Biens, Pertes d'exploitation, Remise en état des biens